一种对恶意攻击流量的处理方法及相关服务器技术

本发明专利技术公开了一种对恶意攻击流量的处理方法，包括：获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。本发明专利技术还同时公开了一种流量分析服务器和远程用户拨号认证服务器。

A malicious attack traffic processing method and related servers

The present invention discloses a processing method for malicious attack traffic, including obtaining log information, the log information includes the flow cleaning log information of the traffic cleaning device and the single log information of the remote user dialing authentication server, and the first record message in the flow cleaning log information and the single day of the statement. The second record message in the information is matched to determine the abnormal user information; the control information including the abnormal user information to the remote user dialing authentication server is sent for the remote user dial-up authentication server to restrict the uplink transmission of the abnormal user information corresponding to the abnormal user information. The invention also discloses a flow analysis server and a remote user dialing authentication server.

【技术实现步骤摘要】
一种对恶意攻击流量的处理方法及相关服务器
本专利技术涉及宽带业务领域，尤其涉及一种对恶意攻击流量的处理方法、流量分析服务器和远程用户拨号认证服务器(Radius，RemoteAuthenticationDialInUserService)。
技术介绍
宽带业务是基础通信公司为用户提供的高速访问互联网的接入业务，用户可以通过非对称数字用户线路(ADSL，AsymmetricDigitalSubscriberLine)或光纤接入互联网，实现高速的上网冲浪。由于“宽带中国”战略实施方案的实施，使得城市和农村的家庭宽带的接入能力分别逐步达到20Mbps和4Mbps，部分发达城市已经达到100Mbps。而随着宽带接入标准的调高和互联网用户数量的增多，给黑客利用分布式拒绝服务(DDoS，DistributedDenialofService)进行攻击提供了有利环境，黑客可以通过控制与以往相比一样数量的家庭宽带用户的僵尸主机来制造更多的恶意攻击流量，而大流量的恶意攻击会拥塞网络带宽，抢占网络设备的处理能力，使网络带宽的整体利用率降低，从而会威胁到多种业务。例如，在2015年，中国移动互联网(CMNET，ChinaMobileNetwork)的网间DDoS的恶意攻击流量呈现一个全面爆发的趋势，直接导致晚忙时单电路的丢包率超过40％，从而影响了各类业务的实施，引发了客户的投诉。针对骨干网、城域网中这种大面积的DDoS恶意流量的攻击，当前基础电信运营商一般会采用两种方式进行处理：一种方式是人工方式，即在DDoS恶意流量的攻击发生后，首先通过网管系统观察流量的激增情况，手工提取各类系统中关于流量的原始日志，人工分析DDoS恶意流量的来源，然后通过人工方式对网络设备中的路由策略进行修改，以此来达到对攻击源的IP地址进行封堵的目的；另一种方式是在自己的骨干网和城域网中部署流量清洗系统，利用流量清洗系统，通过流量检测、流量牵引、流量清洗以及流量回注等步骤来实现流量清洗。另外，针对常用的流量清洗系统，现有部署方式也有两种：一种是对末端进行流量清洗的防护方法，通过在靠近被保护目标的地方部署专用的流量清洗设备来进行防御；另一种是对源端进行流量清洗的防护方法，恶意攻击流量汇聚前，在靠近攻击源的多个骨干网节点处对流量进行分布式清洗。针对上面提到的DDoS的恶意攻击流量的人工处理方式，要求运营商的维护人员在流量攻击发生后，能迅速从各类系统的日志中手工分析出DDoS的恶意攻击流量的来源，以此来封堵攻击源的IP地址；这就要求维护人员具备相当安全事件的处理经验和设备维护经验，因此，该种方式对维护人员的技能要求比较高，响应速度受到维护人员经验的限制，同时还无法实现对动态攻击源的IP地址的处理。针对采用源端清洗的防护方式部署流量清洗设备，此种部署方式的特点是单点防御，只能为本地所保护的系统或设备提供清洗防护，而且防御能力十分有限，对于大规模、超大规模的DDoS的攻击无法进行防护，并且无法从源头上对DDoS的恶意攻击流量进行抑制，因此，在发生大规模的流量攻击后容易造成被保护目标所在网络的拥塞或瘫痪；针对采用源端清洗的防护方式部署流量清洗设备，由于此种部署方式的特点主要是对骨干网节点进行清洗，因此，对于城域网内宽带用户和互联网数据中心(IDC，InternetDataCenter)等内部网的相互攻击则难以防御；同时，由于清洗系统的部署层面较高，难以部署精细化的防护策略，因此，也无法从源头上对DDoS的恶意攻击流量进行抑制。可见，为了克服现有的流量清洗方式无法从源头上对DDoS的恶意攻击流量进行有效抑制的缺陷，亟需寻找一种对恶意攻击流量的处理方案。
技术实现思路
为解决现有存在的问题，本专利技术实施例期望提供一种对恶意攻击流量的处理方法、流量分析服务器和Radius服务器，能够从源头上对DDoS的恶意攻击流量进行有效抑制。为达到上述目的，本专利技术的技术方案是这样实现的：本专利技术实施例提供了一种对恶意攻击流量的处理方法，所述方法包括：获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。上述方案中，所述第一记录消息包括互联网协议IP地址段、异常开始时间和告警级别，所述第二记录消息包括用户IP地址和本次计费开始时间；所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息包括：提取所述第一记录消息中记录的告警级别达到预设级别的待处理记录消息；将所述待处理记录消息中的异常开始时间与所述第二记录消息中待比对记录消息的本次计费开始时间进行比对，确定与所述待处理记录消息对应的用户IP地址；所述待比对记录消息为用户IP地址与所述待处理记录消息的IP地址段关联的第二记录消息；根据与所述待处理记录消息对应的用户IP地址，在所述第二记录消息中查找并确定异常用户信息。上述方案中，所述控制信息还包括所述上行传输限制策略；所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息之后，所述方法还包括：根据所述异常用户信息对应的异常用户的用户IP地址在对应的待处理记录消息中的异常类型和异常延续时间，生成与所述异常用户对应的上行传输限制策略。上述方案中，所述日志信息还包括网络地址转换设备的转换日志信息；所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息之前，所述方法还包括：根据所述转换日志信息，对所述第二记录消息中的用户IP地址进行转换，使所述第二记录消息中的用户IP地址包含于所述第一记录消息中的IP地址段。本专利技术实施例还提供了一种对恶意攻击流量的处理方法，所述方法包括：接收包括异常用户信息的控制信息；当所述异常用户信息对应的异常用户在线时，根据所述控制信息发送流量控制消息至宽带接入网关，以对所述异常用户的上行传输数据进行限制。上述方案中，所述控制信息还包括上行传输限制策略；所述根据所述控制信息发送流量控制消息至宽带接入网关之前，所述方法还包括：判断所述上行传输限制策略是否满足预设条件，所述预设条件为与所述远程用户拨号认证服务器下发的历史流量控制策略不冲突且相容；满足所述预设条件时，当所述异常用户在线时，根据所述控制信息发送所述流量控制消息至宽带接入网关。本专利技术实施例还提供了一种流量分析服务器，所述流量分析服务器包括：获取部件、匹配部件和发送部件；其中，所述获取部件，用于获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；所述匹配部件，用于对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；所述发送部件，用于发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。上述方案中，所述第一记录消息包括互本文档来自技高网...

【技术保护点】
1.一种对恶意攻击流量的处理方法，其特征在于，所述方法包括：获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。

【技术特征摘要】
1.一种对恶意攻击流量的处理方法，其特征在于，所述方法包括：获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。2.根据权利要求1所述的方法，其特征在于，所述第一记录消息包括互联网协议IP地址段、异常开始时间和告警级别，所述第二记录消息包括用户IP地址和本次计费开始时间；所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息包括：提取所述第一记录消息中记录的告警级别达到预设级别的待处理记录消息；将所述待处理记录消息中的异常开始时间与所述第二记录消息中待比对记录消息的本次计费开始时间进行比对，确定与所述待处理记录消息对应的用户IP地址；所述待比对记录消息为用户IP地址与所述待处理记录消息的IP地址段关联的第二记录消息；根据与所述待处理记录消息对应的用户IP地址，在所述第二记录消息中查找并确定异常用户信息。3.根据权利要求2所述的方法，其特征在于，所述控制信息还包括所述上行传输限制策略；所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息之后，所述方法还包括：根据所述异常用户信息对应的异常用户的用户IP地址在对应的待处理记录消息中的异常类型和异常延续时间，生成与所述异常用户对应的上行传输限制策略。4.根据权利要求1所述的方法，其特征在于，所述日志信息还包括网络地址转换设备的转换日志信息；所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息之前，所述方法还包括：根据所述转换日志信息，对所述第二记录消息中的用户IP地址进行转换，使所述第二记录消息中的用户IP地址包含于所述第一记录消息中的IP地址段。5.一种对恶意攻击流量的处理方法，其特征在于，所述方法包括：接收包括异常用户信息的控制信息；当所述异常用户信息对应的异常用户在线时，根据所述控制信息发送流量控制消息至宽带接入网关，以对所述异常用户的上行传输数据进行限制。6.根据权利要求5所述的方法，其特征在于，所述控制信息还包括上行传输限制策略；所述根据所述控制信息发送流量控制消息至宽带接入网关之前，所述方法还包括：判断所述上行传输限制策略是否满足预设条件，所述预设条件为与所述远程用户拨号认证服务器下发的历史流量控制策略不冲突且相容；满足所述预设条件时，当所述异常用户在线时，根据所述控制信息发送所述流量控制消息至宽带接入网关。7.一...

【专利技术属性】
技术研发人员：李海明，隋鹏，杜峰，高桐，宋刚，褚尧，谭永波，
申请(专利权)人：中国移动通信集团黑龙江有限公司，中国移动通信集团公司，
类型：发明
国别省市：黑龙江,23